Solana用户资产遭盗：恶意NPM包窃取私钥事件分析

2025年7月2日，一位用户向安全团队求助，希望分析其加密资产被盗的原因。经调查，事件源于该用户使用了一个托管在GitHub上的开源项目solana-pumpfun-bot。

安全团队随即展开调查。访问项目GitHub仓库后发现，该项目虽然Star和Fork数量较高，但代码提交时间异常集中，缺乏持续更新的特征。

进一步分析发现，该Node.js项目引用了一个名为crypto-layout-utils的可疑第三方包。这个依赖包已被官方下架，且package.json中指定的版本在NPM官方历史记录中未出现。

在package-lock.json文件中，研究人员发现攻击者将crypto-layout-utils的下载链接替换为了一个GitHub仓库的release下载地址。下载并分析这个高度混淆的依赖包后，确认这是一个恶意NPM包。

该恶意包会扫描用户电脑文件，如发现钱包或私钥相关内容就上传到攻击者控制的服务器。攻击者还可能控制了多个GitHub账号，用于分发恶意程序并提高项目可信度。

除crypto-layout-utils外，还发现另一个名为bs58-encrypt-utils的恶意包。这些恶意包自2025年6月中旬就开始分发，后来改用替换NPM包下载链接的方式继续传播。

通过链上分析工具追踪发现，部分被盗资金已被转移至某交易平台。

此次攻击通过伪装合法开源项目，诱导用户下载运行含恶意依赖的代码，从而窃取钱包私钥。攻击者利用多个GitHub账号协同操作，扩大传播范围并提升可信度，具有很强的欺骗性。

建议开发者和用户对来源不明的GitHub项目保持高度警惕，特别是涉及钱包或私钥操作时。如需调试，最好在独立且无敏感数据的环境中进行。